我国工业企业信息安全存在明显短板

近日，我国工业和信息化部先后发布了《工业控制系统信息安全防护指南》和《工业控制系统信息安全防护能力评估方法》，该评估选取了国内 32 家具有代表性的工业企业开展了调研评估工作。评估结果表明，大多数工业企业信息安全防护水平仅达到“基本合格”的状态，存在明显短板，亟需进一步提升。

工业企业信息安全评估结果如下。

近五分之一的工业企业评估“不合格”，信息安全防护工作有待加强

结果显示：21.87% 的（7 家）工业企业评估结果为“不合格”，46.87% 的（15 家）工业企业评估结果为“基本合格”，15.63% 的（5 家）工业企业评估结果为“一般”，15.63% 的（5 家）工业企业评估结果为“良好”，尚无企业被评估为“优秀”。《防护指南》作为工业企业信息安全评估的基线要求，被评估为“良好”水平的工业企业占比不足两成，工业企业信息安全防护工作有待进一步强化。

工控安全防护工作存在明显短板

工业企业在“配置和补丁管理”和“安全软件选择与管理”两方面得分率不足 60%，分别为 49.28% 和 58.70%。工业企业在技术防护方面存在明显短板，系统日常安全维护缺失，生产网络安全状态无法确定，终端安全防护不足，在安全策略配置和主机缺陷修复方面未采取有效措施，无法保证工控系统安全稳定运行。

关于工作建议

1、定期开展多层次的工控安全防护能力评估贯标工作，增强企业安全责任意识，针对企业安全短板整理归纳安全解决方案，全面提升企业安全防护能力。

2、按照信息系统安全“三同步”原则，推动工业控制系统与安全保障措施同步设计、 同步建设、同步运行，完善工业控制系统安全防护体系；在工业控制系统上线前进行安全评估，检验系统上线前的安全状态，健全系统因无法维护或漏洞修复引起的安全隐患；根据工业控制系统业务持续情况，合理安排维护管理策略，针对系统运行特点，在停车检修期间修复系统内存在的安全缺陷，完善系统内设备、终端等安全策略，健全系统的安全防护体系。

3、推动国内安全厂商与工控企业的深度合作，集中力量加强安全软件的研发及测试，完善工控控制系统安全软件的兼容性，提升安全软件在不同工控环境下的可靠性和可用性，切实解决工业企业安全软件供给不足的问题。同时，建立国产安全软件的供应链管理体系，在安全软件投入使用前需经过第三方权威机构的安全测试，从供应链源头保障工业控制系统的安全。